Windows 用 Azure Disk Encryption (Microsoft.Azure.Security.AzureDiskEncryption)

概要

Azure Disk Encryption では、BitLocker を使用して、Windows を実行している Azure 仮想マシン上で完全なディスク暗号化を提供します。 このソリューションは Azure Key Vault と統合されており、ディスクの暗号化キーとシークレットは Key Vault サブスクリプションで管理することができます。

前提条件

前提条件の完全な一覧については、「Windows VM 用の Azure Disk Encryption」の特に次のセクションを参照してください。

• サポートされている VM とオペレーティング システム
• ネットワーク要件
• グループ ポリシーの要件

拡張機能のスキーマ

Azure Disk Encryption (ADE) 用の拡張スキーマには、次の 2 つのバージョンがあります。

• v2.2 - Microsoft Entra のプロパティを使用しない、推奨される新しいスキーマ。
• v1.1 - Microsoft Entra プロパティを必要とする古いスキーマ。

ターゲット スキーマを選択するには、typeHandlerVersion プロパティを、使用するスキーマのバージョンと同じ値に設定する必要があります。

スキーマ v2.2: Microsoft Entra ID なし (推奨)

v2.2 スキーマはすべての新しい VM で推奨されており、Microsoft Entra のプロパティを必要としません。

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryption",
        "typeHandlerVersion": "2.2",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[keyVaultResourceID]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[kekVaultResourceID]",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

スキーマ v1.1: Microsoft Entra ID を使用

1.1 スキーマでは、aadClientID と、aadClientSecret または AADClientCertificate のいずれかを必要とします。新しい VM には推奨されません。

aadClientSecretの使用

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

AADClientCertificateの使用

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

プロパティ値

注: すべての値で大文字と小文字が区別されます。

名前	値/例	データ型
apiVersion	2019-07-01	date
publisher	Microsoft.Azure.Security	string
type	AzureDiskEncryption	string
typeHandlerVersion	2.2、1.1	string
(1.1 スキーマ) AADClientID	xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx	guid
(1.1 スキーマ) AADClientSecret	password	string
(1.1 スキーマ) AADClientCertificate	thumbprint	string
EncryptionOperation	EnableEncryption	string
(省略可能 - 既定値 RSA-OAEP) KeyEncryptionAlgorithm	'RSA-OAEP'、'RSA-OAEP-256'、'RSA1_5'	string
KeyVaultURL	url	string
KeyVaultResourceId	url	string
(省略可能) KeyEncryptionKeyURL	url	string
(省略可能) KekVaultResourceId	url	string
(省略可能) SequenceVersion	UNIQUEIDENTIFIER	string
VolumeType	OS、Data、All	string

テンプレートのデプロイ

スキーマ v2.2 に基づくテンプレートのデプロイの例については、Azure クイックスタート テンプレートの encrypt-running-windows-vm-without-aad を参照してください。

スキーマ v1.1 を基板とするテンプレート デプロイの例については、Azure クイックスタート テンプレート encrypt-running-windows-vm を参照してください。

Note

また、VolumeType パラメーターが All に設定されている場合は、正しくフォーマットされている場合にのみ、データ ディスクが暗号化されます。

トラブルシューティングとサポート

トラブルシューティング

トラブルシューティングについては、「Azure Disk Encryption トラブルシューティング ガイド」を参照してください。

サポート

この記事についてさらにヘルプが必要な場合は、いつでも MSDN の Azure フォーラムと Stack Overflow フォーラムで Azure エキスパートに問い合わせることができます。

または、Azure サポート インシデントを送信できます。 Azure サポートに移動して、[サポートを受ける] を選択します。 Azure サポートの使用方法の詳細については、「 Azure Support FAQ (Microsoft Azure サポートに関する FAQ)」を参照してください。

次のステップ

• 拡張機能の詳細については、「Windows 用の仮想マシン拡張機能とその機能」を参照してください。
• Windows 用の Azure Disk Encryption の詳細については、「Windows Virtual Machines」を参照してください。